使用Yassp工具包安裝安全的Solaris系統 (二)
2024-07-26 00:29:37
供稿:網友
4���、在/etc/vfsab文件中對安裝文件系統做限制
在安裝文件系統時,使用一些參數可以提高文件系統的安全性和魯棒性���。使用mount命令檢查哪些
參數生效���,這些參數包括:nosuid���、logging、noatime���、size=xxxm���、ro。
Mount參數
OS版本
描 述
用 途
nosuid
2.x
關閉SUID程序及SUID設備
不允許存在SUID的/var���、 /home或者數據磁盤分區及設備(建議使用chroot environments).���。如
果/tmp分區
不在磁盤上,此參數無效���。
logging
2.7或者更高版本
為分區記錄transaction日志���。可以大提高文件系統檢查的速度���,特別是針對大容量的磁盤���。缺點
是需要耗費時間進行寫log的操作。
/usr /opt /home分區
建議除根區(如果使用了Veritas的VxVM)和對磁盤寫性能要求非常高的分區外���,都使用此參數���。
noatime
2.7或者更高版本
允許mount的文件系統,在每次訪問文件時對文件節點號不做更新���,這樣可以顯著提高某些服務���,
如對大量小文件進行頻繁IO操作的web cache或者新聞服務。
/var或者文件頻繁存取的分區 (web緩存或news分區)���。
size=100m
2.5.1 or later
允許/tmp分區只使用100MB的交換空間���。這個值通常取交換的30%。
在mount /tmp時使用
ro
2.x
只讀���。將文件系統mount成為只讀只能對文件系統做有限制的保護(因為攻擊者一旦取得root權限
���,他可以將文件系統重新mount成讀寫)。
可以縮短系統啟動時���,執行fsck的時間���,提高性能的同時���,可以避免管理員無意中的錯誤(如誤
刪除文件等)。
/usr及/opt分區最好mount成為只讀方式���,但是將/usr分區mount成為只讀方式的情況下���,通常需
要將/usr/local建立的另外的分區上。
在編輯vfstab文件時要特別小心���,對/ 及/usr分區的錯誤改動可能會導致系統不能引導���。如果出
現這種情況,使用安裝光盤將以單用戶模式引導后���,mount上有錯誤的磁盤���,更正vfstab文件后,
reboot使改動生效。
下面是vfstab文件的兩個例子:
一個只有/及/var的服務器���,操作系統是Solaris2.8
fd - /dev/fd fd - no -
/PRoc - /proc proc - no -
/dev/dsk/c0t3d0s1 - - swap - no logging
/dev/dsk/c0t3d0s0 /dev/rdsk/c0t3d0s0 / ufs 1 no logging
/dev/dsk/c0t3d0s7 /dev/rdsk/c0t3d0s7 /var ufs 1 no logging,nosuid,noatime
swap - /tmp tmpfs - yes size=100m
有較多分區的服務器
fd - /dev/fd fd - no -
/proc - /proc proc - no -
swap - /tmp tmpfs - yes size=200m
/dev/dsk/c0t8d0s0 /dev/rdsk/c0t8d0s0 / ufs 1 no logging
/dev/dsk/c0t8d0s1 - - swap - no -
/dev/dsk/c0t8d0s4 /dev/rdsk/c0t8d0s4 /usr ufs 1 no logging
/dev/dsk/c0t8d0s6 /dev/rdsk/c0t8d0s6 /var ufs 1 no nosuid,noatime,logging
/dev/dsk/c0t8d0s5 /dev/rdsk/c0t8d0s5 /opt ufs 2 yes logging
5���、在Solaris 8中安裝Sunscreen EFS防火墻
安裝本地防火墻對系統進行保護���。
1. 在Solaris 8系統的iplanet CD#2光盤上���,帶有Sunscreen EFS的限制版。也可以從Sun的主頁
下載此版本���。
2. 對于老版本的Solaris系統���,可以使用Ipfilter作為本機防火墻。
Sunscreen EFS可以保護網絡通信���,下面使用命令行對防火墻規則的設置作簡單介紹���。
* 防火墻的安裝:在最終用戶模式安裝Solaris8系統,安裝防火墻時���,如果提示沒有安裝
SUNWsprot���,需要用Solaris2號光盤先行安裝:
pkgadd -d /cdrom/sol_8_sparc_2/Solaris_8/Product SUNWsprot
再使用iPlanet CD#2光盤���,啟動Sunscreen安裝工具:
/cdrom/cdrom0/SunScreen/screenInstaller
除了Naming services=DNS(不使用NIS)外,其它選項都使用缺省設置���。
配置:設置簡單的防火墻規則���,找到正在運行的防火墻規則,顯示缺省規則并對其進行編輯���。
#cd /opt/SUNWicg/SunScreen/bin;
#./ssadm active
Active configuration:www default Initial.2
#./ssadm edit Initial
edit>list rule
1 "common""*""*"ALLOW
edit>list address
"*"RANGE 0.0.0.0 255.255.255.255
"le0.net"RANGE 176.17.17.0 176.17.17.255
"localhost"HOST
"smtp-server"HOST 1.1.1.1
"www_le0"GROUP{}{}
edit>list service common
"commom"GROUP"tcp all""udp all""syslog""dns""rpc all""nfs prog""icmp
all""rip""ftp""real audio""pmap udp all""pmap tcp all""rpc tcp
all""nis""archie""traceroute""ping"
可以看出���,缺省的規則讓很少的服務通過。
我們假設在設置一臺HTTPD服務器(在80端囗)���,并使用SSH進行管理���。允許使用ping和
traceroute命令進行初步的錯誤檢查。我們需要如下設置防火墻的規則:
#./ssadm edit Initial
edit>add service ssh SINGLE FORWARD "tcp" PORT 22
edit>add service myhttp GROUP ping traceroute ssh www
edit>replace rule 1 ALLOW myhttp"*""*"
edit>list rule
1 "myhttp""*""*"ALLOW
edit>save
edit>verify
Configuration verified successfully(not activated)
edit>quit
www#./ssadm activate Initial
Configuration activated successfully on www
* 在一臺管理機上���,允許使用ssh和smtp(用來email報警)���,可以對外使用ping/traceroute,進行
檢查���,為降低風險,只響應其它管理主機的ping/traceroute請求���。允許通過HTTPS及使用dns查詢
。
# cd /opt/SUNWicg/SunScreen/bin;
# ./ssadm edit Initial
edit> add address mgt_net RANGE 176.17.17.0 176.17.17.255
edit> add service mgt GROUP ping traceroute ssh
edit> add service https SINGLE FORWARD"tcp" PORT 443
edit> add service outgoing GROUP ping traceroute dns
edit>
edit> replace rule 1 ALLOW www "*" localhost
edit> replace rule 2 ALLOW https "*" localhost
edit> replace rule 3 ALLOW mgt mgt_net localhost
edit> replace rule 4 ALLOW outgoing localhost "*"
edit> replace rule 5 ALLOW smtp localhost mgt_net
edit>
edit> save
edit> verify
Configuration verified successfully (not activated).
# ./ssadm activate Initial
Configuration activated successfully on www.
檢查網絡連接���,確定改動的規則已經生效���。如果要恢復初始設置,將所有的規則刪除后���,加入下
面一行:
replace rule 1 ALLOW "common""*""*"
最后���,關閉防火墻的遠程圖形管理功能,只使用"ssadm"命令行工具進行管理���。
注釋掉/etc/rc2.d/S63sunscreen文件中的下面一行:
$SS_LIBDIR/run_httpd start efshttpd
在/opt/SUNWicg/SunScreen/lib/ss_boot中���,注釋掉:
$SS_LIBDIR/ssadmserver star>/dev/console 2>&1
6���、進一步增強系統的可靠性:路由、郵件���、 解析及工具的設置
到此���,系統已經進行了初步的加固,以root方式登錄���。
* 設置路由
* 對于缺省路由���,將網關的IP地址添加到/etc/defaultrouter文件中。
* 對于靜態路由���,使用route命令創建/etc/init.d/static_routes文件及
/etc/rc2.d/S99static_routes符號連接
* 清空路由表���,為特定網絡指定路由,如:
route -f add net 129.97 `cat /etc/defaultrouter`
* 如果需要運行路由守護進程(不建議使用)���,要清楚其工作原理���,否則它可能會導致你網絡通信
的不正常���。使用'-q'參數的“安靜”模式(quiet mode),或者在使用ifconfig命令配置網絡接囗
設備時���,使用'private'參數���,告訴網絡接囗設備不要對外廣播路由信息。運行“安靜”模式���,要
在/etc/yassp.conf文件中設置SUNSTARTUP=YES并確定沒有設置缺省路由。
* 配置/etc/hosts文件���,添加不想通過DNS解晰的服務器名���。
* DNS客戶端:(對于關鍵任務的主機不要設置)在/etc/resolv.conf文件中添加域名及DNS服務器
名,在/etc/nsswitch.conf文件中hosts行添加DNS條目���。
* 環境的設置:在/.cshrc /.profile:設置aliases和變量(如VISUAL,EDITOR和PATH���,路徑的環境
變量中不要包括當前路徑".")���。
* 使用useradd工具在系統中添加新的用戶。首次運行后���,會產生/etc/sadm/defadduser缺省新加
用戶設置���。可以編輯此文件���,對新增用戶做缺省的設置���。
* 郵件客戶端的設置:如果不對外網外送郵件,則不需要配置mailhost alias(在/etc/hosts文
件中)���,如果不需要任何形式的郵件服務���,刪除/etc/lib/sendmail程序。否則:
* 編輯/etc/mail/aliases文件���,至少將mailer-daemon���、根及其它系統帳戶指向其真實地址���。
* 在/etc/hosts文件中加入帶有IP地址的郵件服務器條目,alias用mailhost���。
* 將完整的域名添加到/etc/hosts中,設置hostname.YOURDOMAIN.COM的alias���。
* 在/etc/mail/sendmail.cf文件中作如下設置,確保所有的外發郵件通過郵件主機發送(前面兩
行在Solaris8中無需設置):
Dj$w.YOURDOMAIN.COM.
DSmailhost
DRmailhost
Dhmailhost
O FallbackMXhost=mailhost
* 在root的cron中加入如下條目���,將緩存的郵件在工作時間內每小時發送一次
0 6-22 * * 1-5 /usr/lib/sendmail -q
* 發送一封測試郵件���,對配置進行檢查
mailx -v -s test_email root * Email服務器:設置Email服務器(運行SMTP服務),在這里不做詳細介紹���。
Reboot,查錯
安裝相應的工具及腳本���,確保程序已經在其它主機上編輯測試通過���。
* 將安全工具安裝在/secure目錄中,如下面會用到的:rotate_cron���,rotate_log���,wtrim.pl���,
rdistd,Saveit���,Weekly���。然后將/secure目錄模式設置為:
chmod 700 /secure;chown -R root /resure
* 在Solaris8系統的附件光盤上���,如Software Companion光盤帶有許多常用的工具���,如PPP、
samba���、wu-ftp(出于安全性考慮���,避免使用)、Development/Libraries���、Development/Tools���、
X11應用���、vim/emacs、Windows管理器等���。使用圖形化的安裝工具或者通過SSH和X11隧道登錄到服
務器上���,進入相應的目錄,使用pkgadd命令進行安裝���。
* 安裝其它的常用工具���,如traceroute、top或者lsof(不要設置SUID位)���。
* 安裝perl,并建立/bin/perl符號鏈接(ln -s /usr/local/bin/perl /bin/perl)���。
Solaris8系統已經內置了一個版本的perl���,但最好刪除它(pkgrm SUNWpl5u SUNWpl5p SUNWpl5m
),從Sunfreeware.com下載最新的版本進行安裝(pkgadd -d perl-5.6.0-sol8.sparc-local)���。
